当前位置:文档之家 › 信息安全风险评估

信息安全风险评估

  • 格式:pdf
  • 大小:4.14 MB
  • 文档页数:61

下载文档原格式

  / 61

合集下载

信息安全风险评估范围

信息安全风险评估范围

信息安全风险评估范围
信息安全风险评估的范围包括以下几个方面:
1. 技术基础设施风险:评估组织的计算机网络环境、服务器、操作系统、数据库等技术基础设施的安全风险,例如网络攻击、恶意软件、硬件故障等。

2. 应用系统风险:评估组织的应用系统(如企业资源计划系统、客户关系管理系统)是否存在漏洞,是否能够抵御各类攻击,如SQL注入、跨站脚本攻击等。

3. 数据安全风险:评估组织的数据安全情况,包括数据泄露、数据丢失、数据损坏等风险,以及数据备份和恢复措施的可行性和有效性。

4. 内部人员风险:评估组织内部员工的安全意识和行为,例如是否存在信息泄露、数据篡改等安全事件的风险。

5. 外部威胁风险:评估组织面临的来自外部的各类威胁和攻击,包括黑客攻击、网络钓鱼、勒索软件等。

6. 物理安全风险:评估组织的物理环境安全,如数据中心、机房等的安全措施,包括监控摄像、门禁系统、防火墙等。

7. 法规合规风险:评估组织是否符合相关法律法规和行业标准的要求,如隐私保护、网络信息安全法等。

以上是一些常见的信息安全风险评估范围,具体评估的内容可以根据组织的具体情况进行调整和拓展。

关于信息安全风险评估

关于信息安全风险评估

关于信息安全风险评估
信息安全风险评估是指对组织的信息系统和数据资产进行全面的评估和分析,确定潜在的安全威胁和风险,并采取相应的控制措施来减轻和管理这些风险。

信息安全风险评估通常包括以下几个步骤:
1. 确定资产:确定组织的重要信息系统和数据资产,包括硬件、软件、网络设备、数据库、敏感数据等。

2. 识别威胁:分析各种可能的威胁和攻击方式,如黑客攻击、病毒感染、内部威胁等。

3. 评估风险:评估每种威胁对组织信息资产的潜在影响和可能性,确定其风险等级。

4. 确定控制措施:根据评估结果,确定恰当的控制措施来减轻和管理风险,包括技术控制措施(如防火墙、入侵检测系统)、组织控制措施(如安全策略、流程和培训)以及法规合规控制措施。

5. 评估控制效果:评估已实施的控制措施对风险的减轻效果,确定是否需要进一步改进和加强控制。

6. 编制报告和建议:总结评估结果,撰写详细的报告并提出相应的建议,帮助组织制定有效的信息安全管理计划。

信息安全风险评估是信息安全管理的重要组成部分,通过综合
分析和评估风险,帮助组织更好地理解和应对安全威胁,提高信息资产的安全性和可靠性。

信息安全风险评估简介

信息安全风险评估简介

信息安全风险评估简介
信息安全风险评估是指对组织或个人的信息系统进行全面评估,确定存在的安全风险,以及评估这些风险对业务运作的影响。

其目的是为了帮助组织或个人识别和理解信息系统中的潜在威胁和漏洞,并采取相应的措施来降低风险。

信息安全风险评估通常包括以下几个步骤:
1. 确定评估目标:明确评估的范围和目标,确定需要评估的信息系统和相关资源。

2. 收集信息:收集与信息系统有关的各种信息,包括系统架构、应用程序、网络拓扑、存储设备等。

3. 识别风险:识别可能存在的安全威胁和漏洞,包括技术性漏洞、人为因素、自然灾害等。

4. 评估风险:对已经识别的风险进行评估,包括风险的概率、影响程度和优先级等。

5. 编制报告:根据评估结果编制风险评估报告,包括风险评估的综合分析、建议的安全措施等。

6. 建议措施:基于评估结果,提出相应的安全改进措施和建议,帮助组织或个人加强信息安全防护能力。

信息安全风险评估是信息安全管理的基础工作之一。

通过定期
进行风险评估,可以帮助组织或个人及时识别和应对潜在的威胁和漏洞,减少信息安全事件的发生,保障信息的机密性、完整性和可用性。

信息安全风险评估分

信息安全风险评估分

信息安全风险评估分
信息安全风险评估分为以下几个方面:
1. 威胁评估:对可能存在的威胁进行分析,包括内部威胁和外部威胁。

内部威胁可以是员工的不当操作或恶意行为,外部威胁可以是黑客攻击、病毒入侵等。

2. 漏洞评估:对系统和网络的漏洞进行评估,找到安全漏洞和弱点。

包括应用程序的漏洞、系统配置的漏洞等。

3. 业务影响评估:评估信息安全风险对业务的影响程度,包括数据泄露、系统中断、业务中断等。

4. 安全控制评估:评估当前的安全控制措施的有效性和合理性。

确定是否需要增加或改变安全控制措施。

5. 风险评估:对上述评估结果进行综合分析,给出风险等级和优先级。

确定哪些风险最为关键,需要优先处理。

6. 对策评估:评估各种可能的对策,包括技术对策和管理对策。

确定最合适的对策措施,以降低风险。

7. 监测评估:建立风险监测和预警机制,对信息安全风险进行持续评估和监测,及时预警和应对可能的风险事件。

信息安全风险评估

信息安全风险评估

信息安全风险评估在当今数字化的时代,信息已成为企业和个人最为重要的资产之一。

然而,伴随着信息的快速传播和广泛应用,信息安全问题也日益凸显。

信息安全风险评估作为保障信息安全的重要手段,其作用愈发关键。

那么,究竟什么是信息安全风险评估呢?简单来说,它是对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的过程。

通过这个过程,我们能够识别潜在的安全威胁,分析这些威胁可能造成的影响,评估当前安全措施的有效性,并据此制定出合理的应对策略。

为什么要进行信息安全风险评估呢?想象一下,如果一家企业不了解自己信息系统中的漏洞和弱点,就如同在黑暗中行走,随时可能陷入危险。

信息安全风险评估可以帮助企业提前发现潜在的风险,避免遭受重大的损失。

例如,如果一家电商企业的用户数据被黑客窃取,不仅会造成用户信任的丧失,还可能面临法律诉讼和巨额罚款。

又比如,一家金融机构的交易系统出现安全漏洞,可能导致大量资金的损失和金融市场的动荡。

信息安全风险评估通常包括以下几个主要步骤:首先是风险识别。

这就像是在一个复杂的迷宫中寻找隐藏的陷阱。

我们需要全面地了解信息系统的架构、业务流程、人员管理等方面,找出可能存在的安全威胁。

这些威胁可能来自内部,比如员工的误操作或故意泄露信息;也可能来自外部,比如黑客攻击、网络病毒等。

然后是风险分析。

在找到了潜在的威胁之后,我们要进一步分析这些威胁发生的可能性以及一旦发生可能造成的影响。

这需要我们结合具体的业务环境和技术条件,进行深入的研究和评估。

例如,对于一个依赖网络进行销售的企业,网络中断的可能性以及由此带来的经济损失就是需要重点分析的内容。

接下来是风险评估。

在风险分析的基础上,我们要对风险进行量化或定性的评估。

量化评估可以通过计算风险发生的概率和可能造成的损失金额来确定风险的大小;定性评估则可以根据风险的严重程度、紧急程度等因素将其划分为不同的等级。

最后是风险处理。

信息安全风险评估

信息安全风险评估

信息安全风险评估引言:在当今数字化时代,信息安全风险已经成为各行各业面临的重要问题。

对于企业和组织来说,如果不能及时识别和评估信息安全风险,可能会面临严重的损失,例如数据泄露、恶意攻击和财务损失等。

因此,进行信息安全风险评估是非常重要的。

本文将探讨信息安全风险评估的概念、方法、工具和关键要点。

一、信息安全风险评估概述信息安全风险评估是指通过系统化的方法,对信息系统和相关资源的潜在风险进行识别、评估和处理的过程。

其目的是为了提前预防和降低信息安全事件发生的可能性和影响程度。

1.1 信息安全风险评估的重要性信息安全风险评估能够帮助企业和组织全面了解其信息系统的潜在风险,并采取相应的措施来降低风险。

通过评估,可以及时识别出安全漏洞和威胁,从而有针对性地制定安全策略和加强防护措施,保障信息系统的安全稳定运行。

1.2 信息安全风险评估的基本原则信息安全风险评估应遵循以下基本原则:(1)风险评估应综合考虑信息系统的技术、组织、人员和环境等因素。

(2)风险评估应基于事实和科学的依据,充分利用统计学和数学模型等方法进行分析和预测。

(3)风险评估应持续进行,随着信息系统的变化和演化,及时更新评估结果和控制策略。

(4)风险评估应透明和可追溯,评估方法和结果应当明确记录和保存,方便日后审计和复查。

二、信息安全风险评估方法信息安全风险评估方法主要包括定性评估和定量评估两种。

2.1 定性评估定性评估主要是根据专家判断和经验来评估风险的可能性和影响程度。

这种方法适用于初次风险评估或者数据不完备的情况下。

定性评估通常根据风险等级进行分类,例如高、中、低等。

2.2 定量评估定量评估是通过对信息系统和相关数据进行全面分析和建模,计算出风险的具体数值。

这种方法更加精确和科学,适用于大规模复杂信息系统的风险评估。

定量评估主要采用统计学方法和数学模型,例如蒙特卡洛模拟、概率论和回归分析等。

三、信息安全风险评估工具信息安全风险评估工具是辅助进行风险评估的软件或硬件工具。

信息系统安全风险评估报告(精选5篇)

信息系统安全风险评估报告信息系统安全风险评估报告(精选5篇)在经济发展迅速的今天,接触并使用报告的人越来越多,报告中提到的所有信息应该是准确无误的。

一听到写报告马上头昏脑涨?下面是小编帮大家整理的信息系统安全风险评估报告(精选5篇),希望对大家有所帮助。

信息系统安全风险评估报告1医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失,因此,医院计算机网络系统的安全工作非常重要。

在医院信息管理系统(HIS)、临床信息系统(CIS)、检验信息管理系统(LIS)、住院医嘱管理系统(CPOE)、体检信息管理系统等投入运行后,几大系统纵横交错,构成了庞大的计算机网络系统。

几乎覆盖全院的每个部门,涵盖病人来院就诊的各个环节,300多台计算机同时运行,支持各方面的管理,成为医院开展医疗服务的业务平台。

根据国家信息安全的有关规定、县医院建设基本功能规范、医院医疗质量管理办法、等级医院评审标准,并结合我院的实际情况制定了信息系统安全管理制度(计算机安全管理规定、网络设备使用及维护管理规定、打印机使用及维护管理规定、信息系统添置和更新制度、软件及信息安全、信息系统操作权限分级管理办法、计算机机房工作制度、计算机机房管理制度)、信息系统应急预案、信息报送审核制度、信息报送问责制度,以确保医院计算机网络系统持久、稳定、高效、安全地运行。

针对信息系统的安全运行采取了措施1、中心机房及网络设备的安全维护1.1环境要求中心机房作为医院信息处理中心,其工作环境要求严格,我们安装有专用空调将温度置于22℃左右,相对湿度置于45%~65%,且机房工作间内无人员流动、无尘、全封闭。

机房安装了可靠的避雷设施、防雷设备;配备了能支持4小时的30KVA的UPS电源;配备了20KVA的稳压器;机房工作间和操作间安装有实时监控的摄像头。

1.2网络设备信息系统中的数据是靠网络来传输的,网络的正常运行是医院信息系统的基本条件,所以网络设备的维护至关重要。

信息安全风险评估方案

信息安全风险评估方案信息安全风险评估是企业信息安全管理的重要环节,通过对信息系统和数据进行全面、系统的评估,可以及时发现潜在的安全风险,并制定相应的风险应对措施,保障信息系统的安全稳定运行。

本文将介绍信息安全风险评估的基本概念、方法和步骤,帮助企业建立健全的信息安全风险评估方案。

一、信息安全风险评估的基本概念。

信息安全风险评估是指对信息系统和数据进行全面、系统的评估,识别和分析可能存在的安全风险,包括技术风险、管理风险和运营风险等,以确定风险的概率和影响程度,并提出相应的风险控制措施。

通过信息安全风险评估,可以帮助企业全面了解信息系统的安全状况,及时发现潜在的安全隐患,减少信息安全事件的发生。

二、信息安全风险评估的方法。

信息安全风险评估的方法主要包括定性评估和定量评估两种。

定性评估是通过专家讨论、问卷调查、风险矩阵等方法,对信息系统的安全风险进行主观判断和分析,确定风险的等级和优先级;定量评估则是通过数据统计、模型计算等方法,对信息系统的安全风险进行客观量化分析,确定风险的具体数值和概率。

企业可以根据自身的实际情况,选择合适的评估方法,进行信息安全风险评估。

三、信息安全风险评估的步骤。

信息安全风险评估的步骤主要包括风险识别、风险分析、风险评估和风险控制四个阶段。

首先,企业需要对信息系统和数据进行全面的调查和分析,识别可能存在的安全风险;然后,对识别出的安全风险进行深入分析,确定风险的概率和影响程度;接下来,对风险进行综合评估,确定风险的等级和优先级;最后,制定相应的风险控制措施,对风险进行有效管理和控制。

通过这些步骤,企业可以全面了解信息系统的安全状况,及时发现和应对潜在的安全风险。

四、信息安全风险评估的实施。

信息安全风险评估的实施需要全员参与,包括企业领导、信息安全管理人员、技术人员和用户等。

企业领导需要高度重视信息安全风险评估工作,提供必要的支持和资源;信息安全管理人员需要制定详细的评估计划和方案,组织实施评估工作;技术人员需要全面了解信息系统的安全状况,提供必要的技术支持;用户需要配合评估工作,提供真实的使用情况和反馈意见。

信息安全风险评估包括

信息安全风险评估包括
以下是信息安全风险评估的一些方面:
1. 身份验证和访问控制:评估组织的身份验证和访问控制机制,包括密码策略、多因素身份验证、用户权限管理等。

2. 网络安全:评估网络架构和拓扑结构,包括网络设备的配置、网络隔离、入侵检测和防火墙等措施的有效性。

3. 应用程序安全:评估组织的应用程序的安全性,包括漏洞扫描、代码审查、输入验证和访问控制等。

4. 数据安全:评估组织的数据保护措施,包括备份和恢复策略、数据分类和加密等。

5. 物理安全:评估组织的物理安全控制,包括访问控制、监控系统和安全设备等。

6. 员工教育和培训:评估组织的员工教育和培训计划,包括信息安全政策的传达和培训、社会工程学的防范等。

7. 第三方风险:评估与组织有关的供应商和合作伙伴的安全控制措施,包括安全审查、监控和合同管理等。

8. 风险评估和治理:评估组织的风险管理和治理流程,包括风险评估方法、风险注册和风险报告等。

9. 事件响应计划:评估组织的事件响应计划和流程,包括事件分类、应急响应和恢复等。

10. 合规性评估:评估组织是否符合相关的法律法规和行业标准,包括数据保护、隐私保护和知识产权保护等。

这些都是信息安全风险评估的一些方面,评估的重点会根据组织的需求和特定环境的不同而有所不同。

信息安全风险评估方法

信息安全风险评估方法随着信息技术的快速发展,信息安全问题日益凸显。

针对信息安全风险的评估是确保信息系统安全的重要环节。

本文将介绍一些常用的信息安全风险评估方法,以帮助读者更好地理解和应对信息安全风险。

一、定性评估方法定性评估方法主要通过对信息安全风险进行描述和分类来实现。

常见的定性评估方法包括:风险矩阵评估、威胁建模和攻击树分析等。

1. 风险矩阵评估风险矩阵评估方法是一种简单直观的评估方法,通过将风险的概率和影响进行量化,并用矩阵形式展示,以确定风险的等级和优先级。

评估人员可以根据风险等级制定相应的应对策略。

2. 威胁建模威胁建模方法通过对系统进行全面分析,确定其中潜在的威胁和漏洞,并对其进行分类和评估。

通过构建威胁模型,评估人员可以对不同的威胁进行定性描述和分析,为安全措施的实施提供指导。

3. 攻击树分析攻击树分析方法是一种系统的、层级的描述攻击过程的方法,通过将攻击者可能采取的各种攻击路径按层次进行展示,以便评估人员了解系统中各个组件的安全性和脆弱性,为防范措施的优化提供参考。

二、定量评估方法定量评估方法主要通过对信息安全风险进行量化分析,以提供更为准确的风险评估结果。

常见的定量评估方法包括:风险值评估、蒙特卡洛模拟和剩余风险评估等。

1. 风险值评估风险值评估方法是一种常用的定量评估方法,它通过将风险的概率、影响和损失进行量化,得到相应的风险值。

评估人员可以根据风险值的大小确定风险等级,从而做出相应的风险控制和管理决策。

2. 蒙特卡洛模拟蒙特卡洛模拟方法通过随机抽取大量的样本,并进行多次模拟实验,以预测不同风险事件发生的概率和可能的后果。

通过对实验结果的统计分析,评估人员可以得到相应的风险指标,为风险管理提供参考依据。

3. 剩余风险评估剩余风险评估方法是指在已有安全措施实施后,对可能剩余的风险进行评估和控制。

评估人员可以根据已有措施的有效性和风险的剩余程度,调整并完善安全措施,以降低剩余风险的发生概率和影响。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

11
一、标准的制定过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
12
3、试点实践检验
2005 年 2 月 , 根 据 国 信 办 [2005]4 号 和 5 号 文
件,关于在银行、税务、电力等部门和电子政务外网,以 及北京、上海、黑龙江、云南等省市,开展信息安全风险 评估试点工作的要求,标准起草组配合风险评估试点工作 专家组开展了以下工作: --为各试点单位提供标准草案文本和相关说明; --在试点准备阶段与各试点单位的技术骨干进行标 准技术交流; --根据标准草案文本涉及的关键技术,起草组成员 选择试点环节参与实际试点; --在试点过程中,先后几次召开标准研讨会,征求 各单位对标准的意见与建议。
21
专家评审会名单
姓 名 沈昌祥 吉增瑞 赵战生 卿斯汉 杜虹 景乾元 崔书昆 单 位 职务/职称 院士 研究员 研究员 研究员 所长 处长 研究员
海军计算技术研究所 公安部信息安全标委会委员 国家信息化咨询委员会 中科院信息安全技术工程研究中心 国家保密技术研究所 公安部十一局 国家信息化咨询委员会
(1)业务战略的实现对资产具有依赖性,依赖程度 越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对资产的依 赖程度越高,资产价值就越大; (3)风险是由威胁引发的,资产面临的威胁越多则 风险越大,并可能演变成安全事件; (4)资产的脆弱性可以暴露资产的价值,资产具有 的弱点越多则风险越大; (5)脆弱性是未被满足的安全需求,威胁利用脆弱 性危害资产; (6)风险的存在及对风险的认识导出安全需求; (7)安全需求可通过安全措施得以满足,需要结合 资产价值考虑实施成本; (8)安全措施可抵御威胁,降低风险; (9)残余风险是未被安全措施控制的风险。有些是 安全措施不当或无效,需要加强才可控制的风险;而 有些则是在综合考虑了安全成本与效益后未去控制的 风险; (10)残余风险应受到密切监视,它可能会在将来诱 发新的安全事件。
31
风险评估要素关系图
业务战略
依 赖
脆 弱 性
暴 露
资 产
具 有
资产价值
利 用
增 加
未被满足
成 本
威 胁
增 加
风 险
导 出
安全需求
演 变
抵 御
降 低
被 满 足
安全事件
可能诱发
残余风险
未 控 制
安全措施
图中方框部分的内容为风险评估的基 本要素;椭圆部分的内容是与这些要素相 关的属性。 风险评估围绕着基本要素展开,同时 需要充分考虑与基本要素相关的各类属性 。
32
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
33
2、为什么要做风险评估
安全源于风险。
在信息化建设中,建设与运营的网络与信息系统由于可能 存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时 带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络 与信息系统中拥有极为重要的信息资产时,都将使得面临复杂 环境的网络与信息系统潜在着若干不同程度的安全风险。
信息安全风险评估国家标准 编制及内容介绍
二00六年九月
范 红
主要内容
一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考
2
主要内容
一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考
3
一、标准的编制过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
中国工程院 国务院信息办 国家发改委高科技司 中国标准化协会 全国信息安全标准化技术委员会 国家信息化专家咨询委员会 公安部十一局 国税总局信息中心 黑龙江省信息产业厅 上海市信息化管理委员会 总参三部三局 中国电子技术标准化研究所 国家电网公司 北京市CA中心
2005年10月27日,国家信息中心在北京组织召开了
29
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
30
1、什么是风险评估
信息安全风险 人为或自然的威胁利用信息系统及其 管理体系中存在的脆弱性导致安全事件的发生及其对组织 造成的影响。 信息安全风险评估 依据有关信息安全技术与管理标 准,对信息系统及由其处理、传输和存储的信息的保密性、 完整性和可用性等安全属性进行评价的过程。它要评估资 产面临的威胁以及威胁利用脆弱性导致安全事件的可能 性,并结合安全事件所涉及的资产价值来判断安全事件一 旦发生对组织造成的影响。
25
2006年6月19日,全国信息安全标准化技术委
员会秘书处在北京组织召开了信息安全风险评估标准送审 稿的专家审查会,与会专家经质询和讨论,将标准正式命 名为《信息安全技术 信息安全风险评估规范》, 认为该标准达到国家标准送审稿的要求,同意通过评审。 会后,国家信息中心先后与各起草单位和有关专家 就标准规范报批稿的修改进行了进一步的研讨,并逐一落 实了专家提出的意见。
信息安全风险评估国家标准征求意见稿的第二次专家评审会。
18
第二冯登国 陈晓桦 崔书昆 景乾元 肖京华 贾颖禾 李守鹏 王同良 江志强 谢小权 吕仲涛 单 位 职务/职称 副主任 研究员 研究员 研究员 研究员 研究员 处长 处长 副秘书长 副主任 副主任 处长 副所长 总工 19
13
整个试点工作历时7个月,各试点单位对标准草案先
后提出40 多条补充修改意见,标准起草组根据试点结果先 后进行了三次较大规模的修改。主要内容包括: --细化了资产的分类方法、脆弱性的识别要求,修 改并细化了风险计算的方法; --对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分; --对风险评估的工具进行了梳理和区分,形成了现 在的几种类型; --细化了生命周期不同阶段风险评估的主要内容。 试点实践证明,试行标准基本满足各试点单位评估工 作的需求。
7
一、标准的编制过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
8
2、标准草案编制
据国信办的指示和信安标委的具体要求,国家信息 中心组织国家保密技术研究所、公安部三所、北京信息安全 测评中心、上海市测评认证中心、信息安全国家重点实验室 以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿 盟、科飞、凝瑞等国内十几家企事业单位 于2004年3月29日 正式启动标准草案的编制工作 。此后,中国信息安全产品测 评认证中心、解放军信息技术安全研究中心、航天部二院七 O六所等单位也参与了标准的编制与起草。 起草组在前期准备工作的基础上,经过多次研究探讨, 确定了编制标准应 遵循的原则 :
4
一、标准的编制过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
5
1、前期研究准备
2003年7月, 中办发[2003]27号文件对开展信息
安全风险评估工作提出了明确的要求。国信办委托国家信 息中心牵头,成立了国家信息安全风险评估课题组,对信 息安全风险评估相关工作展开调查研究。课题组利用半年 多的时间,对我国信息安全风险评估现状进行了深入调 查,掌握了第一手情况;对国内外相关领域的理论进行了 学习、分析和研究,查阅了大量的相关资料,基本了解了 此领域的国际前沿动态。这些都为标准编制工作奠定了良 好的基础。
10
在标准编制的过程中,标准起草组多次与相关主管
部门所属机构的专家代表就技术标准有关主体内容进行会 商;向相关单位发放标准文本,通过电子邮件等形式广泛 征求业界意见;召开标准讨论会议三十几次,共收集100 多条修改意见。 起草组逐一对修改意见进行研究,在充分吸纳合理成 份的基础上,对《信息安全风险评估规范》等标准进行了 较大幅度的修改,使标准的体系结构更趋完善、合理。
6
统一的风险评估技术标准是规范开展信息安全风
险评估工作的必备条件。落实中办发 27号文件、全面推进 我国的信息安全风险评估工作,首先就必须解决我国缺乏 统一的风险评估技术标准的问题。 为此,国信办领导根据专家们的建议,决定着手开展 信息安全风险评估国家标准的编制工作及相关实践活动。 旨在通过这项工作更好地加强国家基础网络和重要信息系 统的风险评估及管理工作,使其流程更加科学、统一、规 范、有效。
23
2006年3月6日和3月16日,在国信办进行的
行业和省市的风险评估政策文件的两次宣贯会上,信息安全 风险评估征求意见稿以国信办文件的形式下发,为各行业和 省市开展风险评估提供技术依据。
24
2006年4月18日,全国信息安全标准化技术委员
(安标委)会第五工作组(WG5)在北京召开全体工作组成员 标准投票会议,对信息安全风险评估国家标准送审稿进行工 作组全体成员投票表决。与会的三十几位专家听取了标准起 草组对《指南》的编制过程以及主要内容的介绍,经投票一 致通过了标准的评审。
34
风险评估可以不断深入地发现系统建设中的安全隐
患,采取或完善更加经济有效的安全保障措施,来消除安全 建设中的盲目乐观或盲目恐惧,提出有针对性的从实际出发 的解决方法,提高系统安全的科学管理水平,进而全面提升 网络与信息系统的安全保障能力。
与会专家认为标准起草组做了大量卓有成效的工作,
标准的结构合理、内容完备、可操作性强,并充分考虑与信息 安全等级保护相关标准相衔接。文本的编制符合国家标准的要 求。同时,专家们也对完善标准提出了进一步的修改意见。
20
2005年12月14日,由安标委第五工作组主持召开了
由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审 稿的专家评审会。
22
与 会专家听取了起草小组的编制说明及内容介绍,审阅了 相关文档资料,经质询和讨论,一致认为:
一、送审稿规范了风险评估的评估内容与范围、基本概念,明确 了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和 要求,提出了实施流程与操作步骤、评估规则与基本方法,并 充分考虑与信息安全等级保护相关标准相衔接。 二、送审稿的操作性较强,对开展风险评估工作具有指导作用, 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善。 三、文本的编制符合国家标准GB1.1的要求。 专家组认为送审稿达到国家标准送审稿的要求,同意通过评 审。建议起草组根据专家意见尽快修改完善后申报。